Bulletin d'alerte Debian

DSA-3489-1 lighttpd -- Mise à jour de sécurité

Date du rapport :
23 février 2016
Paquets concernés :
lighttpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 765702.
Dans le dictionnaire CVE du Mitre : CVE-2014-3566.
Plus de précisions :

Lighttpd, un petit serveur web, est vulnérable à l'attaque POODLE grâce à l'utilisation de SSLv3. Ce protocole est maintenant désactivé par défaut.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.4.31-4+deb7u4.

Nous vous recommandons de mettre à jour vos paquets lighttpd.